ESPECIALIZACIÓN EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS

FASE DE EJECUCION

PLAN DE RESPALDO PARA LAS SECRETARIAS DE GOBIERNO Y HACIENDA

DE LA ALCALDÍA DE SAN ANTONIO DEL SENA

OSCAR DARIO VERNAZA LASSO

SERVICIO NACIONAL DE APRENDIZAJE

SENA

-2019-
 INTRODUCCIÓN

El plan de configuración y recuperación es una herramienta importante como la

construcción de la base de datos. El éxito de una organización se encuentra en el
balance perfecto entre la planeación, ejecución, minimización de riesgos y
mitigación de los mismos.

Realizar la configuración adecuada del SMBD es un paso fundamental cuando se

busca la creación de la base de datos que manejará la Alcaldía. Un mal
procedimiento de configuración puede llevar a la perdida de información o la
imposibilidad de recuperarse ante un desastre.

Por ello, tener claro cómo se debe reaccionar ante una emergencia se constituye
en la llave maestra ante la perduración de los datos en el tiempo y por ende, la
garantía de la información almacenada.

Frente a cualquier problema depende de la capacidad y la estrategia a seguir

para señalar con precisión, por ejemplo: ¿Qué componente ha fallado?, ¿Cuál es
el dato o archivo con información se ha perdido, en que día y hora se ha
producido y cuán rápido se descubrió? Estos problemas menores y mayores
sirven para retroalimentar nuestros procedimientos y planes de seguridad en la
información.

OBJETIVOS
Elabora el plan de respaldo de la información de acuerdo con los lineamientos
establecidos y las características de la organización.

ALCANCE
El plan comienza con la identificación de riesgos y vulnerabilidades y termina
con el establecimiento de las políticas de seguridad.
Para el desarrollo del plan se han identificado tres grandes fases, como lo son
la fase de mitigación, emergencias y recuperación.
IDENTIFICACIÓN Y ANALISIS DE RIESGOS
Para el análisis de riesgo se ha evaluado el impacto por interrupción de servicio,
estimando las pérdidas que involucraría la interrupción parcial o total del
funcionamiento de la Alcaldía de San Antonio del SENA.

Riesgos con incidencia externa

Se contemplan los riesgos por cabios de normatividad, ya sean a nivel nacional,

departamental o municipal, los cuales puedan incidir en un cambio inmediato
del funcionamiento del SIASAS1.
Riesgos con incidencia interna

 Incumplimiento de contratista:
este riesgo puede ocurrir cuando alguno de los contratistas firmados para
implementación del SIASAS o de las actividades propias del área de sistemas
responsable del manejo tanto de las plataformas como de las actividades de
mantenimiento y seguridad de la información.
 Posibles retrasos en procesos administrativos:
Al implementar procesos tecnológicos, es frecuente que se incurra en retrasos
de los procesos administrativos mientras los usuarios se acomodan al uso de
los sistemas, razón por la cual se deben implementar estrategias que no
imposibiliten la continua prestación del servicio.
Contratación sin asistencia técnica,
Soluciones Inadecuadas o Incompatibilidad frente a los Requerimientos y
Recursos Disponibles: Se relaciona con deficientes procesos de análisis,
evaluación, planeación y toma de decisiones sobre la elección de las
alternativas tecnológicas a ser implementadas, y con el probable
desconocimiento de las características y especificaciones técnicas de los
recursos disponibles y las necesarias en cada una de las soluciones elegidas,
de manera compatible.
Posible pérdida de información:
La idea del presente plan de contingencias es que este riesgo tenga baja
probabilidad de ocurrencia, efectuado copias de seguridad de todo tipo de
archivos que se desarrollen en la entidad.
Posible falla de equipos electrónicos y Hardware fuera de inventario:
Este riesgo se presenta por la Falta de Previsión, con la no inclusión de
soluciones para aspectos de baja prioridad o al excluir elementos de los
inventarios, por desconocimiento o por no haber sido reportados a tiempo al
área de sistemas.
Posibles Fallas en el Flujo de Energía Eléctrica:
Este riesgo está relacionado con amenazas externas al control de la Entidad.
Sin embargo, se han implementado equipos para la mitigación del riesgo de
corte temporal de energía eléctrica. Para tiempos mayores a una (1) hora que
es lo soportado por los equipos adquiridos se debe acudir a procesos
manuales establecidos como contingencia hasta tanto se solucione la falla.
Posible calentamiento de la Sala de Computo:
Los servidores se ubicarán en una sala independiente a la cual sólo tendrá
acceso personal autorizado que tenga que ver con su mantenimiento y/o
vigilancia, buscando mantener las condiciones ambientales para no generar
aumentos de temperatura repentina que obliguen
la activación de fuentes externas para mantener la temperatura y humedad en
la sala y a su vez, buscando garantizar al máximo la

seguridad y estabilidad de la información de la alcaldía y por ende de San

Antonio del Sena…” sin embargo, aunque la probabilidad de ocurrencia es baja,
este riesgo debe ser de igual manera contemplado.
Es de vital importancia tener en cuenta los equipos con los que se cuenta
en la entidad:

EQUIPO CANTIDAD CARACTERÍSTICAS

Rack 1 Debe soportar los switches

Switch 7

Servidores 7

Access point 10

Computadores 48 Windows 8.1, Memoria RAM de 4 GB,

Core i7, 1
Tera en disco duro.

Computadores 95 Windows 8.1, Memoria RAM de 4 GB,

Core i7, 1
Tera en disco duro, tarjeta inalámbrica de
red.
Computadores 3 Equipos Touchscreen

Impresoras 17 Impresora Multifuncional (Scanner,

fax, fotocopiadora) inalámbrica y envió de
correos

Impresoras 2 Impresoras de punto.

 Impresoras 4 Impresoras láser.

UPS 9

PLAN DE MITIGACIÓN

En el plan de mitigación se contemplarán la frecuencia de copias de seguridad y

los tipos de las mismas
Proceso de respaldo

Por medio de este proceso, la Alcaldía de San Antonio del SENA asegura la
conservación de la información y determinara donde se realizarán los trabajos
críticos de procesamiento de datos en caso de falta o falla de sus equipos.
Para ello, se han incluido los 5 principal componente de un sistema de
información:
1. Los datos
2. La documentación
3. Los programas (software)
4. Los procedimientos
5. Los equipos (hardware)

Proceso de respaldo externo.

Como sitio de respaldo externo se entiende una instalación diferente a la sede
principal de la entidad donde se almacena una copia de los archivos de
backups de la entidad, para que ante cualquier eventualidad que se presente en
la sede principal se pueda reiniciar labores con los archivos almacenados en el
sitio de respaldo externo. Este lugar será establecido luego de la contratación
de espacios propios de la Alcaldía de San Antonio del SENA.
Plan de Backcup y equipos de respaldo:
Estos backups deberán ser ejecutados por el coordinador del área de sistemas
y algunos funcionarios con que cuenten con usuario con privilegio para realizar
las copias de seguridad.

Definición de Niveles de Backup

Los niveles de backup que se han establecido como política en Área de
Sistemas son los siguientes:
ANUAL: Debe realizarse al final de cada año (último día del año), es un backup
total en cintas que se guardan indefinidamente.
SEMESTRAL: Debe realizarse al final de cada semestre un backup total (último
día de cada semestre exceptuando el último día del año). Estas cintas se
pueden denominar semestre1, semestre2 y se reutilizan anualmente.
 MENSUAL: Debe realizarse al final de cada mes un backup total (último día de
cada mes exceptuando el último día del año). Estas cintas se pueden
denominar mes1, mes2, mes3,….mes12 y se reutilizan anualmente.
SEMANAL: Se debe realizar al final de la semana (último día de la semana), es
un backup total en cintas. Estas cintas se pueden denominar semana 1,semana
4 y se reutilizan mensualmente.
DIARIO: Se debe realizar al final del día, es un backup total de la información
diaria en cintas independientes. Estas cintas se pueden denominar lunes,
martes, miércoles y jueves y se reutilizan semanalmente.
EN LINEA: Este backup se hace siempre y cuando se posea la infraestructura
para copiar los archivos o directorios considerados como información vital al
disco duro de un servidor remoto.
Procedimiento para efectuar los backups.

Para ello se implementará un procedimiento en el Sistema Integrado de

Gestión, el cual deberá ser proyectado por el enlace de la OCI en el área de
sistemas y aprobado por el Coordinador del área y el Coordinador del OCI.
Se deberá incluir como mínimo la siguiente información y se deberá nombrar un
Coordinador de Contingencia:
Backup base de datos en servidores

No Responsable Actividad Registro

1 Profesional Determina de acuerdo a la periodicidad
Centro establecida si el backup a realizar es diario,
de Cómputo semanal, mensual o semestral
Verifica en la Planilla de Control de Backups el Planilla de
número de la unidad de almacenamiento Control de
correspondiente y registra la fecha de Backups
ejecución.
Selecciona en la unidad correspondiente y
prepara en el servidor (el) (los) archivo(s) a
respaldar.
Ejecuta la acción adecuada para respaldar
(el)(los) archivo(s).

Finalizada la copia de (el)(los) archivo(s) se

regresa la unidad a su lugar de origen.
 Backup semestral de información institucional

No Responsable Actividad Registro

2 Coordinador Envía memorando al Contralor, Contralor Memorando
Área de Auxiliar, Directores Técnicos , Jefes de
Informática Oficinas Asesoras y Grupo de Actuaciones
Especiales informando acerca del backup
semestral de información institucional,
indicando que se debe recopilar en un equipo
con suficiente espacio en disco duro dentro de
un directorio conformado por las iniciales DT
seguido del código de la dependencia
(DT#####) y que se encuentre conectado a la
red.
3 Alcalde, Solicita a todos sus funcionarios que
Secretarios, seleccionen los archivos que ameriten ser
Directores conservados en copia de seguridad, en su
Técnicos, última versión y preferiblemente establecer
Coordinadores, nombres cortos, combinado con fechas para
definir los nombres de estos.
Jefe de OCI.
Asigna un funcionario para que realice la
compilación de los archivos en el equipo
seleccionado.
4 Profesional y/o Diseña en el computador seleccionado y dentro
técnico de la del directorio DT##### la estructura con los
Dependencia subdirectorios contenidos y copia en ella los
archivos relevantes de la dependencia.
5 Alcalde, Envía al Área de sistemas memorando Memorando
Secretarios, informando que el directorio asignado para incluir
Directores los archivos que ameriten mantenerse en backup
Técnicos, se encuentra conformado donde se indique:
Coordinadores, - Nombre y código de la Dependencia
Jefe de OCI. - Nombre del responsable del backup en la
Dependencia
- Ubicación e identificación en la red del
computador que contiene la información
- Nombre del directorio principal
- Estructura gráfica del directorio principal
completa.
6 Profesional Ubica a través de la red el directorio principal de
Centro de cada una de las dependencias y procede a
Cómputo copiar la información en un servidor del Centro
de Cómputo asignado para tal fin.

Registra la acción realizada en la planilla de

control de backup institucional. Una vez
centralizada toda la información en el servidor
procede a copiar todos los datos en las unidades
de almacenamiento (datacartridge) debidamente
identificadas con el contenido de su información,
la primera de ellas con destino al archivo del
Centro de Cómputo y la otra para el centro
alterno.
 Recuperación de información institucional

No Responsable Actividad Registro

7 Alcalde, Envía memorando al Área de Memorando
Secretarios, Sistemas solicitando la
Directores recuperación de un backup o
Técnicos. parte de este, indicando la fecha y
ubicación de
Coordinadores, la información en la estructura de
Jefe de OCI. directorios de
la respectiva dependencia.
8 Coordinador Asigna profesional del Centro de
Área de Cómputo para realizar la tarea
Sistemas correspondiente

9 Profesional Ubica el datacarridge correspondiente y

Centro de restaura la información en el disco
Cómputo duro del servidor para luego enviarla
vía red a la dependencia solicitante.
Proyecta respuesta para la firma del
coordinador
del Área de Sistemas, informando fecha
y ubicación donde fueron restaurados
los datos solicitados.

Centro de Cómputo Alterno.

Como se explicó en el numeral 5.1.1, la Alcaldía de San Antonio del SENA,

al no contar con un centro alterno donde se pueda localizar este espacio,
deberá contemplar la adquisición de este lugar, no solo para preservar la
información en un lugar distinto al edificio principal que pueda servir de
respaldo en caso de incidentes naturales o incendios, sino también para
poder aislar la información en caso de ataques cibernéticos, etc. Este centro
de cómputo deberá contar con un coordinador y personal capacitado en
Tecnologías de información, base de datos y oficial de seguridad de la
información.

PLAN DE CONTINGENCIA

En el momento en que se presente la emergencia, los grupos de trabajo

deben iniciar y seguir los siguientes pasos.
 Recurso
Paso Accion Necesario Duración Responsable
Reporte de la
falla al
1 funcionario encargado Teléfono. Reporte
de los sistemas, que de Errores Inmediato Usuario
pertenece a la
dependencia y que
hace parte del grupo
de desarrollo.
Inhabilitar el uso del
equipo o equipos que
2 utilizan dicha Listado de Inmediato, Funcionario
aplicación y usuarios, medio Máximo 15 Encargado de la
advertencia a los de comunicación. minutos Dependencia
usuarios para no
desarrollar
ninguna actividad
relacionada.
Reporte de la falla a la Inmediato,
3 línea de Atención a Teléfono. Reporte Máximo 30 Funcionario
Usuarios de minutos Encargado de la
Errores Dependencia
Máximo 30
minutos,
Medio de dependiendo Ingeniero del Grupo
4 Dirigirse a la transporte, del lugar de Desarrollo y
dependencia en donde reporte de donde se Técnico de Soporte
se ha presentado la errores, orden de halla encargados de la
falla servicio presentado la vigilancia y
falla soporte del SIASAS
Fuentes, Dependiendo Ingeniero del Grupo
documentación del nivel de de Desarrollo,
5 Identificación, soporte de la criticidad de Funcionario
diagnóstico y Análisis aplicación, equipo la falla delegado en la
de las fallas y su de soporte y (alta, media, dependencia y
alcance. pruebas baja), pero no Técnico de Soporte
(herramientas y encargados de la
medios
 magnéticos) mayor de 1 vigilancia y soporte
hora del
SIASAS
Reporte al Teléfono y Inmediatame
Coordinador documento de nte se haya
del Plan de diagnóstico de la
terminado el
Contingencias falla diagnóstico
6 respectivo, Ingeniero del Grupo
máximo
15
Notificación al minutos
Comité Teléfono, Plan de después.
Directivo de la Contingencias y Inmediato,
7 Situación, para que documento de máximo Coordinador del
ellos tomen la diagnóstico de 15 minutos. Plan de
decisión de liberar y la falla. Contingencias.
poner
en ejecución el Plan
de Contingencias, si
lo amerita.
Si se pone en
marcha el
Plan de Teléfono, Plan de
Contingencias, el Contingencias Entre 15 y 30 Coordinador del
8 coordinador debe y documento minutos Plan de
identificar el área o de diagnóstico Contingencias.
áreas afectadas con de la falla.
el fin de notificar al
personal encargado
de las mismas, para
llevar a cabo las
actividades del Plan.
Coordinador Centro
Localizar los recursos Inventarios, Plan El mínimo de Computo,
necesarios para dar de dependiendo Coordinador Grupo
inicio al Plan Contingencias, de la Línea de atención
relacionado con el documento ubicación de a usuarios,
9 área afectada de diagnóstico los recursos Ingeniero del Grupo
de la falla, necesarios. de Desarrollo y
último backup, Máximo 1 Técnico de Soporte
manuales de hora. encargados de la
usuario y vigilancia y soporte
técnico de la del SIASAS
aplicación
afectada. Medios
magnéticos
necesarios.
 Implementar la Recursos El mínimo Ingeniero del Grupo
solución y ejecutar las necesarios dependiendo de Desarrollo,
actividades localizados en la de la Funcionario
establecidas en el actividad 9. complejidad delegado en la
10 Plan para mantener la de dependencia y
continuidad del la solución. Técnico de Soporte
proceso afectado. No debe ser encargados de la
mayor vigilancia y soporte
a del SIASAS
5 horas.

Reportar al Reporte de
Coordinador del las Ingeniero del Grupo
Plan de actividades Entre 15 y 30 de Desarrollo
11 Contingencias, la realizadas, minutos. encargado de la
conclusión de las debidamente vigilancia y soporte
actividades previstas firmada por el del SIASAS
y la puesta en marcha usuario, como
de la solución. recibo a
satisfacción.
Monitorear el correcto
funcionamiento de la Observación Funcionario
solución Documentación permanente, delegado en la
12 implementada, con el del proceso mientras dure dependencia
fin de avisar cualquier afectado. la encargado de la
anomalía al Área de contingencia vigilancia y soporte
Sistemas. del
SIASAS
Iniciar las
acciones pertinentes No mayor a Ingeniero del Grupo
para el Plan un (1) mes de
restablecimiento de dependiendo Desarrollo,
13 del proceso normal Contingencias. del Funcionario
(ubicar al proveedor, Documentación nivel de delegado en la
hacer efectivas soporte del criticidad del dependencia,
pólizas, hacer soporte proceso. proceso encargados de la
correctivo, contratar afectado. vigilancia y soporte
nuevas soluciones, del SIASAS
etc. según
convenga o este
planeado).
ACTIVIDADES POSTERIORES AL DESASTRE

 Realice u n a documentación c o m p l e t a del desastre y la acción

realizada para reestablecer el orden.
 Se deberán realizar pruebas de recuperación de los respaldos, a lo
menos una vez por semestre. Estas pruebas consistirán en la
restauración de los sistemas que correspondan, a partir de su
respaldo, y deberán quedar debidamente documentadas. En caso
de presentarse problemas durante las pruebas, se deberán
implementar las medidas correspondientes para prevenir su
ocurrencia en el futuro.
  Mensualmente, se deberá generar un reporte de incidentes, con
objeto de identificar categorías de incidentes más reportados, para
luego tomar las medidas que correspondan para prevenirlos.

CRITERIOS Y PROCEDIMIENTOS DE PRUEBA DEL PLAN:

Las pruebas de recuperación de desastres ayudan a garantizar que una

organización podrá recuperar datos, aplicaciones críticas de negocio y continuar
con su funcionamiento después de una interrupción de los servicios. La función
principal de una prueba de DR es evaluar plenamente la continuidad de los
procesos y los planes de recuperación de desastres. El proceso de prueba le
permite a la entidad llevar a cabo el plan de mantenimiento y capacitar al
personal sobre los procedimientos de recuperación de desastres.

Las pruebas de recuperación de desastres deben realizarse de modo regular.

Las comunicaciones, la recuperación de datos y la recuperación de aplicaciones
suelen ser los ejes de todas las pruebas de recuperación de desastres. Los
demás sectores para estas pruebas pueden variar, dependiendo de los
objetivos de la organización sobre el punto de recuperación (RPO) y el tiempo
de recuperación (RTO).

APROBACIÓN

Luego probar el plan y aplicar las correcciones pertinentes, el alcalde deberá

exponerlo y luego aprobarlo. Él y sus asesores son los encargados de
establecer los procedimientos y responsabilidades en caso de alguna
eventualidad y de actualizar y dar el aval al plan cada año.

Este plan se debe considerar fundamental a la hora de asegurar la información

ante un desastre, si bien es cierto que requiere una gran cantidad de recursos y
a pesar de que requiere una cantidad considerable de recursos y trabajo, se
convierte en una herramienta de gran relevancia para el ente gubernamental.
BIBLIOGRAFIA

PROCEDIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN.

Superintendencia del Medio
Ambiente. Gobierno de Chile.

Bases de datos, [en línea], disponible en:

http://www.iuma.ulpgc.es/users/lhdez/inves/pfcs/memoria-ivan/node7.html

Disponibilidad y recuperación ante desastres [en línea], Disponible en:

https://msdn.microsoft.com/es-es/library/dn741215(v=sql.120).aspx

Planeación y recuperación ante desastres [en línea], Disponible en:

https://technet.microsoft.com/es-es/library/ms178128(v=sql.105).aspx